什麼是 PCI DSS 合規性?| PCI DSS 定義

為了保護持卡人資料,符合 PCI 標準的公司遵循一套信用卡資料安全標準,稱為 PCI DSS。探索 PCI 合規性為何對所有處理卡付款的組織都很重要。

學習目標

閱讀本文後,您將能夠:

  • 定義支付卡產業資料安全標準 (PCI DSS)
  • 描述 PCI DSS 的起源和演變
  • 瞭解 PCI DSS 合規性的重要性

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 PCI DSS 合規性?

支付卡產業 (PCI) 合規性意味著遵守一套適用於持卡人資料的安全政策。所有使用信用卡、轉帳卡及/或預付卡處理交易的組織都必須遵循 PCI 合規性要求。

信用卡資料需要保持秘密才能確保安全,並且符合 PCI 規定意味著可以信任公司對該資料保密。就像房主不會將自己的房屋鑰匙借給他們無法信任的人一樣,如果商家未能確保資料安全,信用卡品牌也不會信任擁有支付卡資料的商家。

如果企業儲存、處理或傳輸信用持卡人資料(無論是透過網際網路、電話、應用程式、紙上或親自),他們都必須遵循一套規則來保護有關這些付款的資訊。

儘管美國聯邦法律不要求 PCI 合規性,但信用卡公司可能會向無法適當確保持卡人資料安全的企業收取違規費用。更重要的是,未能保護持卡人資料可以使犯罪分子更容易竊取該資料。這種盜竊是一種重大風險。根據 Nilson Report 的預測,在未來 10 年內,全球支付卡產業預計將在全球因欺詐而損失累計 3970 億美元。

什麼是 PCI DSS?

PCI DSS 代表「支付卡產業資料安全標準」(PCI DSS)。PCI DSS 框架為企業提供強大的流程,以保護持卡人交易資料和卡片認證資訊的安全性。它旨在保護持卡人資料和認證資料,要求幫助防止、偵測和對安全事件做出反應。

PCI 合規性適用於全球所有接受信用卡、轉帳卡或預付卡的商家。這意味著各種規模的企業,從角落咖啡店到跨國設計師服裝品牌,即使他們使用第三方進行交易處理,也必須遵循 PCI 合規性。

PCI DSS 處理的持卡人交易資料包括:

  • 主要帳戶號碼:卡片上的帳戶號碼,通常為 16 位數字
  • 全名:持卡人姓名
  • 到期日:卡片到期時的月份和年份
  • 服務代碼:自動從信用卡的磁條或晶片中取回的數值,以便親自進行交易

PCI DSS 涵蓋的敏感認證資料包括:

  • 全軌資料:信用卡的磁條資料或信用卡芯片上的同等資料
  • 卡片驗證碼:卡片上的三位數或四位數安全碼,網上購物時幾乎都要用到
  • 到期日:卡片到期時的月份和年份
  • 個人識別號碼 (PIN):允許 ATM 提款和其他交易的唯一號碼(通常是四位數)

PCI DSS 框架

PCI DSS 框架包含 12 項基本要求(具有 300 多項子要求):

  1. 安裝和維護網路安全控制。
  2. 不要在連線網路的裝置上使用廠商提供的預設密碼。
  3. 透過加密或其他資料保護方法保護儲存的帳戶資料。
  4. 對開放的公共網路中的持卡人資料進行高度加密。
  5. 保護所有系統和網路免受惡意程式碼的侵害。
  6. 維護安全的系統和軟體。
  7. 在「需要知道」的基礎上限制系統和持卡人資料存取。
  8. 識別使用者並驗證系統元件存取權限。
  9. 控制和限制對持卡人資料的實體存取。
  10. 記錄並監控對持卡人資料的存取。
  11. 定期測試安全性和網路系統。
  12. 維護組織的資訊安全原則。
注意:這些只是標準的摘要版本,而不是實際的標準。詳情請參閱 PCI 安全標準委員會網站。

PCI 標準的起源在哪裡?

PCI DSS 和相關的安全標準由 PCI 安全標準委員會 (PCI SSC) 管理,這是一個由 American Express、Discover Financial Services、JCB International、MasterCard Worldwide 和 Visa Inc. 成立的行業組織,還包括商家、支付卡發卡銀行、處理商、開發商和其他廠商。

第一個版本 PCI DSS 1.0 是在 2004 年推出的。2006 年,PCI SSC 發布了 1.1 版,該版本要求商家審查所有線上應用程式並建立防火牆以增加安全性。

多年來,PCI DSS 不斷發展,以應對卡片處理生態系統中出現的資料外洩和漏洞。截至 2024 年 3 月 31 日,現行的 4.0 版本成為唯一作用中版本,3.2.1 版本已封存。

PCI DSS v4.0 於 2022 年發布,旨在「解決新興威脅和技術,並啟用創新方法來應對新威脅」。組織必須在 2025 年 3 月 31 日之前符合所有 PCI DSS v4.0 的要求。

雖然核心 PCI DSS 需求並未從根本上改變,但新版 v4.0 更加關注安全性控制的實作方式。變更範例包括:

  • 更新的網路安全控制的防火牆術語,以支援更廣泛的技術
  • 擴大對持卡人資料環境的所有存取實施多因素認證 (MFA) 的需求
  • 為組織提供更大的彈性,以示範他們如何使用不同的方法來實現安全目標

以下是從 3.2.1 版到 4.0 版的主要變更摘要。

如何強制執行 PCI 合規性?

PCI 合規性由負責付款處理的信用卡品牌強制執行。當商家(例如,接受支付卡作為商品和服務付款方式的人)每年進行一定數量的支付卡交易時,他們需要填寫完整的 PCI DSS 合規報告。如果他們不這樣做,他們將受到罰款。

PCI DSS 懲罰基於許多因素,例如違規的嚴重性、修正或補救問題所花費的時間,以及是否有違規行為。如果公司仍然不符合 PCI 規範,他們也有可能無法使用信用卡在其系統內進行任何付款。

PCI DSS 根據他們在 12 個月期間處理的卡交易數量,將公司(或「商家」,如標準所稱)劃分為四個級別。

這四個級別*是:

  • 1 級:每年跨所有通道超過六百萬筆交易
  • 2 級:每年在所有通道中,交易量介於一百萬至六百萬筆之間
  • 3 級:每年在 20,000 至 100 萬筆電子商務交易之間
  • 4 級:每年少於 20,000 筆電子商務交易

商家獲得 PCI 合規認證的方式根據其級別而變化。一般來說,他們處理的交易越多,合規性稽核要求就越嚴格。

例如,2-4 級商家填寫並提交年度自我評估問卷 (SAQ)。根據商家處理支付卡資訊的方式,有不同的 SAQ 類型。組織應參考 SAQ 指示和準則,以協助判斷哪些(如有)SAQ 適用於其組織。可在此處找到 v4.0 中 SAQ 要求差異的摘要。

每年處理六百多萬筆交易的一級商家(例如 Cloudflare)每年接受一次稽核。一級商家必須收到 PCI SSC 合格安全評估機構 (QSA) 或 PCI SSC 內部安全評估機構 (ISA) 出具的合規性報告。一級商家的此程序每年進行一次或每季一次,具體取決於卡片公司。一級商家也可能會進行現場資料安全評估。

最後,所有商家都需要填寫並提交合規證明 (AOC) 表格,該表格基本上是向信用卡公司發出的聲明,表明商家符合 PCI 規範。

*這些定義大多是準確的,但每個信用卡品牌的定義和評估合規性略有不同。與每個信用卡公司檢查其具體計劃標準是很重要的。

Cloudflare 是否可以幫助客戶滿足 PCI 要求?

Cloudflare 符合 PCI DSS Level 1 相關規範,自 2014 年以來一直符合 PCI 規範。我們的許多客戶還要求我們提供 AOC 的副本,這基本上告訴信用卡公司我們符合 PCI 規範。如果我們沒有此認證,我們將無法與某些客戶合作,我們的收單銀行也不允許我們使用支付卡作為我們服務的付款方式。

我們還透過自己的網站和應用程式幫助客戶維護安全性。以下是 Cloudflare 如何幫助企業滿足某些 PCI DSS 要求的一些範例:

  • 使用 Cloudflare Web 應用程式防火牆、啟用 OWASP 規則集以及調整環境規則的客戶將符合保護面向 Web 應用程式並滿足 PCI 6.4.1 的要求。
  • Cloudflare 讓商家能夠使用 TLS 加密的最新版本,這是 PCI 合規性的另一個重要組成部分。
  • 許多組織依賴企業 VPN 和其他細分工具來減少持卡人資料環境的範圍。Cloudflare Access 透過使用 Cloudflare 的全球網路作為 VPN 服務來存取內部資源,提供另一種細分方法。此外,這些工作階段可設定為閒置 15 分鐘後逾時,協助客戶符合要求 8.2.8。
  • PCI DSS v4.0 中關於用戶端安全性的新要求 6.4.3 和 11.6.1 指定需要瞭解和授權在所有支付頁面上執行的 JavaScript,並且需要在任何 JavaScript 發生變更時收到警示。Cloudflare Page Shield 持續監控整個網站,而不僅僅是支付頁面,並在任何指令碼發生變更以及該變更被視為惡意時傳送警示。

深入瞭解 Cloudflare 的網站和應用程式安全服務以及全球連通雲的內建安全性、隱私權和合規性功能。